Domanda:
Chiedere una "donazione" prima di rivelare le vulnerabilità è un comportamento da black hat?
Jacco
2017-10-30 15:14:52 UTC
view on stackexchange narkive permalink

Siamo stati contattati da un "ricercatore indipendente sulla sicurezza" tramite il progetto Open Bug Bounty. Le prime comunicazioni erano abbastanza OK e ha rivelato la vulnerabilità rilevata. Abbiamo riparato il buco e detto "grazie", ma abbiamo rifiutato di pagare una donazione (vedi sotto).

Il ricercatore ha quindi inviato un'e-mail di follow-up dicendo che ha trovato più vulnerabilità, ma perché non l'abbiamo fatto ' Per fare una donazione, manterrà per sé quelle vulnerabilità.
In altre parole, ci ha solo detto che aveva più vulnerabilità, ma non le avrebbe rivelate, dopo che abbiamo deciso di non pagare la donazione volontaria suggerita.

A quanto mi risulta, questo non è più in linea con il comportamento responsabile del cappello bianco. Ho ragione in questa affermazione?


Aggiorna
Sì, la persona è stata abbastanza esplicita riguardo all'importo suggerito per la donazione.

I vari motivi per non pagare la "donazione" richiesta sono:

  • l'altezza suggerita della "donazione volontaria" in combinazione con la gravità della vulnerabilità rilevata,
  • la vulnerabilità in questione, secondo i nostri log, non è stata rilevata da un individuo "altamente qualificato", ma piuttosto da uno strumento automatico,
  • il fatto che il progetto Open Bug Bounty menziona esplicitamente che non è richiesto alcun pagamento,
  • il tono di voce aggressivo passivo.

Quanto sopra, in combinazione con il fatto che, mentre siamo in procinto di impostando un budget per i bug bounty e le norme associate, non l'abbiamo ancora completato.

Siamo chiari: non abbiamo impostato un bounty, né promesso uno e lo abbiamo fatto non iscriverti a questo progetto. Il progetto Open Bug Bounty è un progetto non affiliato, che dice esplicitamente: " Non c'è, tuttavia, assolutamente alcun obbligo o dovere di esprimere una gratitudine ".

Inoltre, nota: sebbene io sia a favore di una sorta di quadro giuridico per proteggere i ricercatori in buona fede sulla sicurezza, questo quadro giuridico, al momento, non esiste nella nostra giurisdizione; un fatto che la nostra persona giuridica ci teneva fin troppo a sottolineare.

Se pensi che il ricercatore si stia comportando in modo non etico, allora puoi segnalarlo alle persone di Open Bug Bounty, credo.E ti garantisco che qualcuno che dice "Ho degli insetti, paga se vuoi sapere cosa sono" si sta comportando male (a me sembra un po 'come un'estorsione).D'altra parte, dal momento che non hai specificato perché hai rifiutato di pagare una taglia sul primo bug, non sono chiaro perché pensi che questo ricercatore ti darebbe l'ora del giorno: queste persone ci sono dentro per i soldi.
Ho un problema con il "perché non abbiamo fatto una donazione, manterrà quelle vulnerabilità per sé".Sembra un comportamento infantile nel migliore dei casi, o un'estorsione nel peggiore dei casi.Ovviamente non sta minacciando nessuno, ma dice implicitamente "la prossima volta paga o affronta vulnerabilità sconosciute".E se il ragazzo non è stupido potrebbe comunque rivelare queste vulnerabilità altrove, senza spiegarlo in anticipo.
@Kaël È un enigma interessante.Se il ricercatore si limita a seppellire i risultati, è perché non ha mai fatto la ricerca, quindi è difficile definirlo fallo.Se creassero degli exploit e li vendessero ai criminali, sembrerebbe sicuramente un'estorsione.Se si limitano a pubblicarli nel mondo, anche l'OP li conoscerà, semplicemente non avranno un vantaggio.Un modo completamente diverso di vederlo è che l'OP ha già ricevuto un aiuto gratuito.Perché dovrebbero aspettarsi di ottenere di più gratuitamente?Penso che riferirsi ad essa come una "donazione" faccia sembrare le cose più squallide, però.
@Jacco puoi approfondire cosa potrebbe significare per te una risposta?Se la risposta è "no", qual è il tuo prossimo passo?Stai chiedendo se questo comportamento indica una minaccia da cui devi proteggerti?
@schroeder, Il software è in fase di riscrittura (refactor maggiore), quindi il valore di conoscere le vulnerabilità esatte è basso (sebbene interessante).La mia preoccupazione principale è l'atteggiamento che fondamentalmente dice: "abbiamo trovato vulnerabilità nel tuo software, pagamento";è la minaccia implicita che mi importa.Penso che il comportamento stia dipingendo un brutto quadro per i ricercatori indipendenti / freelance.
@Jacco dato il coinvolgimento di un programma di taglie di terze parti, che fornisce legittimità e sposta l'intero contesto dello scenario, nulla è chiaro: potrebbe essere un cappello nero o un cappello bianco frustrato
@JohnDeters, data la proposta attuale, legalmente non posso pagargli soldi, anche se lo volessi.Se pago ora, accetto l'estorsione e quindi commetto un crimine.
Una volta che l'altra parte ha posto una condizione per ricevere denaro, non è più possibile che quel denaro venga definito con precisione "donazione".Sarebbe giusto, più educato e onesto da parte loro dire: "Penso di aver trovato alcune altre vulnerabilità, che ti venderò felicemente. Ecco un elenco dei miei precedenti clienti soddisfatti. Non esitare a contattarli per verificare che iosono onesto ed esperto. "
`data la proposta attuale, legalmente non posso pagargli soldi, anche se volessi.Se pago ora, accetto l'estorsione e quindi commetto un crimine. In tal caso è decisamente black hat, quindi perché creare il filo?
@JᴀʏMᴇᴇ Perché etica e diritto non sempre coincidono.Stavo chiedendo qual è la parte etica del problema;Speravo che la comunità avesse una sorta di consenso, ma sembra che la domanda non abbia portato a una cosa del genere.
Cinque risposte:
#1
+74
Hector
2017-10-30 15:52:50 UTC
view on stackexchange narkive permalink

A quanto mi risulta, questo non è più in linea con il comportamento responsabile del "cappello bianco". Ho ragione in questa affermazione?

Cappello bianco (e grigio / nero) sono termini vaghi. Non esiste una definizione universale fissa. Dalle definizioni di wikipedia la maggior parte dei ricercatori sarebbe vista come Gray Hat, visto che non è raro pubblicare se l'editore del software si rifiuta di applicare la patch.

La risposta facile alla tua domanda è no. Se il tuo obiettivo è rendere il mondo più sicuro, questo chiaramente non si allinea direttamente. C'è un argomento indiretto: incoraggiando la ricompensa finanziaria si incoraggia una relazione più sana tra imprese e ricercatori, oltre a incoraggiare più persone a entrare nel campo.

Perché me lo chiedi? Il ricercatore non è in alcun modo obbligato a rivelarti. A meno che tu non possa dimostrare che ha infranto la legge trovando le vulnerabilità a cui non hai la forza di costringerlo. Finora avete ricevuto parecchie ore di lavoro da un individuo altamente qualificato (si spera - altrimenti ciò vi getta in cattiva luce) completamente gratis. O ritieni che valga la pena pagarlo per continuare a offrire servizi o non lo fai.

* Vedendo il titolo, direi che questo non è un comportamento di Black Hat a meno che non sfrutti deliberatamente le vulnerabilità per il proprio guadagno o il tuo proprio danno (/ li dà direttamente a qualcuno con quell'intenzione). Se si rifiuta di rivelare l'argomento sarebbe tra le definizioni di cappello bianco / grigio.

#2
+57
PStag
2017-10-30 17:44:53 UTC
view on stackexchange narkive permalink

Il ricercatore non ha creato la vulnerabilità e non ha minacciato di rilasciare o sfruttare ciò che ha trovato. Se non desideri pagare per il suo lavoro, non farlo e la tua azienda non sta peggio di prima che ti contattasse. In effetti ti ha fatto il dono di dirti che esiste una vulnerabilità che puoi trovare da solo o tramite un altro appaltatore.

Quindi no, non ha fatto nulla di non etico.

Non sarebbe considerato immorale allinearsi a un'organizzazione che afferma che le donazioni non sono obbligatorie e quindi richiedere una donazione?
@corsiKa "allineati"?Sul sito web di Open Bug Bounty non sono riuscito a trovare nulla sulla dipendenza in corso tra l'organizzazione e la persona che ha segnalato.
#3
+45
Arminius
2017-10-30 19:04:28 UTC
view on stackexchange narkive permalink

Sono un cacciatore di bug e non ho idea del motivo per cui tutti qui pensano che vada benissimo da parte sua attaccare il tuo sito web senza permesso, determinare lui stesso una taglia e minacciare di trattenere difetti potenzialmente pericolosi perché non ottiene i soldi che vuole. Perché non ha chiesto in anticipo della tua politica? Non hai mai affermato di eseguire un programma di bug bounty o di essere in grado di pagare qualcuno per qualsiasi cosa in primo luogo.

Per chiarire di nuovo, OP non si è iscritta al progetto Open Bug Bounty. Il progetto si propone di fungere da intermediario tra ricercatori e siti web che non eseguono un programma di taglie. Inoltre, menzionano esplicitamente che non sei obbligato a pagare nulla e il ricercatore dovrebbe esserne ben consapevole se legge le linee guida.

Il proprietario di un sito web può esprimere una gratitudine al ricercatore in un modo che ritiene più appropriato e proporzionato agli sforzi e all'aiuto del ricercatore. Incoraggiamo i proprietari di siti web a dire almeno un "grazie" al ricercatore o a scrivere una raccomandazione nel profilo del ricercatore. Tuttavia, non vi è assolutamente alcun obbligo o obbligo di esprimere gratitudine.

(Sottolinea il mio)

Se si aspetta un ricompensa, dovrebbe cercare bug presso aziende che gestiscono effettivamente un programma di taglie. Esistono molti programmi affidabili che pagano ricompense elevate.

Il ricercatore ha quindi inviato un'e-mail di follow-up dicendo che ha trovato più vulnerabilità, ma poiché non abbiamo fatto una donazione, le manterrà vulnerabilità per se stesso.

Se li ha già trovati e non è molto difficile metterli in un elenco e farti sapere, allora sì, trovo non etico trattenere i bug. 1 Non l'hai chiesto lui a lavorare per te. Avrebbe potuto chiederti se paghi per i bug in anticipo. E non ti ha offerto molto la sua esperienza per una donazione: dalla tua descrizione sembra più una lieve minaccia che se non lo paghi, il tuo sito web è in pericolo.

Prendi quell'incidente come suggerimento che devi investire di più nella tua sicurezza. Considera l'idea di creare un vero programma di bug bounty con piccoli premi o di assumere un penetration tester professionista. Ma non lasciarti estorcere denaro da te se non glielo hai mai promesso.

1 Non è che dovrebbe fare un lavoro gratuito per te. È il fatto che menziona che c'è qualcosa che non ti dirà a meno che tu non gli paghi un importo particolare che lo rende immorale, soprattutto se uno sfruttamento di questi bug potrebbe minacciare il futuro della tua azienda.

La pagina collegata menziona anche che hanno "una politica di tolleranza zero per qualsiasi attività non etica intorno alle sottomissioni. Se il comportamento del ricercatore rasenta l'estorsione [...], tali richieste verranno eliminate immediatamente".Quindi il ricercatore è decisamente fuori luogo.
Solo una domanda da qualcuno al di fuori di questo dominio.Presumo che il processo di segnalazione di questi bug rilevati non sia una quantità di lavoro banale.Perché un ricercatore dovrebbe essere eticamente obbligato a contribuire ulteriormente allo sforzo quando c'è un disallineamento nel modo in cui * "esprime una gratitudine al ricercatore in un modo che considera il più appropriato e proporzionale agli sforzi e all'aiuto del ricercatore" *?Se non sento che l'espressione di gratitudine sia appropriata e proporzionata, perché dovrei essere obbligato a fare ulteriori sforzi per migliorare il codice?
Non era obbligato a cercare gli insetti.OP in realtà sta meglio ora rispetto a prima che il ricercatore di sicurezza li contattasse.OP ora conosce una vulnerabilità e sa anche che ne esistono altre.Tutte queste preziose informazioni che OP ha ottenuto gratuitamente.Ho persino trovato delle vulnerabilità per sbaglio e non le ho segnalate per vari motivi.Sono un malvagio cappello nero adesso?Probabilmente potrei usarli per creare perdite monetarie a queste società.Questo sarebbe un comportamento da cappello nero.Ma da nessuna parte sono tenuto a condividere le informazioni sulle vulnerabilità.
@Myles Ho chiarito la mia linea di argomentazione nella risposta.Il giornalista non dovrebbe fare lavori extra.Ma usa chiaramente la sua conoscenza di più bug di sicurezza come leva per ottenere denaro.Ha deciso di menzionare i bug per fare pressione su OP con la minaccia implicita "non devi pagare, ma poi non posso garantire per la tua sicurezza".Inoltre, di solito non è così costoso compilare i bug già trovati in un semplice elenco.
@Arminius From OP: * Il ricercatore ha quindi inviato un'e-mail di follow-up dicendo che ha trovato più vulnerabilità, ma poiché non abbiamo fatto una donazione, manterrà quelle vulnerabilità per se stesso. * C'è un presupposto in "... a meno chelo paghi ... "che il tester continua a chiedere soldi, mentre da quanto effettivamente detto dall'OP il tester ha interrotto il proprio coinvolgimento perché la precedente richiesta non era stata soddisfatta.Non c'è alcuna dichiarazione che il tester fornirà quei bug mancanti ora che hanno deciso che non vale la pena occuparsi di questa organizzazione.Mi manca qualcosa qui?
@Myles Non sono sicuro di quale sia il tuo punto.Non sostengo che il ricercatore abbia inviato ancora un'altra e-mail chiedendo denaro dopo il primo follow-up.Inoltre, non sostengo che il ricercatore abbia fornito i bug in seguito.
@Arminius Sulla base di quanto affermato dall'OP, il ricercatore non ha chiesto soldi nel primo follow-up.Leggi attentamente * ... ma poiché non abbiamo fatto una donazione, manterrà per sé quelle vulnerabilità. * Nessuna richiesta di fondi, semplicemente una cessazione del rapporto.Questo è materiale in questo non essere estorsivo.Puoi chiarire la tua base per l'ipotesi "... che c'è qualcosa che non ti dirà a meno che tu non gli paghi quel particolare importo ..."?È solo che non vedo "a meno che non paghi" nelle informazioni presentate.
@Myles In questo particolare contesto, presumo che da * "Non ti do informazioni preziose perché non mi paghi." * Segue * "Ti darei informazioni preziose se mi pagassi." * È ovvioa me, da quanto riportato da OP.
@Arminius Non sono d'accordo con questo essere ovvio.Penso che sia un salto di logica basato su un presupposto infondato.Grazie per i chiarimenti, ho una migliore comprensione del tuo ragionamento.
@Josef: Anche se è vero che OP è meglio sapere che c'è una vulnerabilità, l'argomento è discutibile, secondo me.È come se qualcuno entrasse in casa tua perché la porta di casa non era chiusa a chiave (o aprendo la serratura con un grimaldello), dopo aver provato tutte le porte del quartiere.Poi, quel ragazzo lascia una lettera sul tavolo della tua cucina dicendoti di dargli dei soldi.Sul serio?Cosa ti fa pensare che l'intero sforzo sia legittimo e non altamente criminale per cominciare?Il fatto che qualcuno dica "Oh, ma io rompo ed entro solo per rendere più sicura la tua casa"?Questo non è stato richiesto.
@Damon Cosa ha a che fare con la domanda, che riguarda l'etica di chiedere denaro per rivelare una vulnerabilità rilevata?L'etica della ricerca di vulnerabilità senza invito è una questione completamente diversa.
@Damon: la tua analogia avrebbe dovuto essere, invece di "lasciare una lettera sul tavolo della cucina", "segnalava la porta aperta all'associazione anticrimine di quartiere che promuove segnalazioni di vulnerabilità".Una bella differenza.E la realtà è che se coloro che vengono informati delle vulnerabilità non vengono pagati, ci saranno pochi incentivi a rivelare tali vulnerabilità.E, infine, mi chiedo perché si chiama Open Bug ** Bounty **?
@Damon l'analogia sarebbe più corretta in questo modo: vado a piedi da OP e vedo che la sua costosa bici è sul prato non protetta.Anche una finestra al primo piano è aperta e una scala direttamente sotto.Vado alla porta, suono il campanello, dico a OP "Ehi amico, la tua bici non è protetta. Lo aggiusterei".OP mi dice "F * ck off you ass".Mi allontano e gli dico "se non apprezzi il mio aiuto, non ti parlerò degli altri tuoi problemi di sicurezza. Arrivederci!".Cosa c'è esattamente di sbagliato in questo?Se il mio aiuto non è apprezzato, non lo fornirò.
#4
+11
Mark Stewart
2017-10-31 00:04:54 UTC
view on stackexchange narkive permalink

Non ha bisogno di rivelare- ma sapeva che arrivando al secondo round non paghi. Allora qual è la sua motivazione? Non puoi saperlo, quindi sta usando quel divario per farti pressione sul pagamento.

Tuttavia, poiché non ha minacciato di rilasciare malware o di vendere a cappelli neri, è potenzialmente legalmente chiaro e forse anche eticamente se non lo fa mai, o se fa semplicemente una discarica aperta dell'exploit senza venderlo ai cappelli neri.

Potrebbe venderlo legalmente a stati-nazione e società di sicurezza, ma non conoscendone l'importanza del tuo codice, è impossibile dire se si tratta di un luogo vendibile per il "ricercatore".

Pagare un valore di mercato equo è probabilmente la soluzione migliore. La persona ha trascorso del tempo a fare ricerche e le informazioni hanno valore per te. Anche se lo rilasciano allo scoperto, è in piena regola. Dipende dal danno che ti farebbe una versione senza notifica. Se la risposta non è molto, ignorala. Altrimenti vieni con i soldi. Questo è puramente utilitaristico BTW - non parla veramente dell'etica. Eticamente avrebbe dovuto abbandonare la ricerca della tua app / sito se sapeva che non eri interessato a pagare, a meno che non ci siano dati pubblici che ritiene tu stia mettendo a rischio.

Una vera analisi etica!Benvenuto nel sito.
"Anche se lo rilasciano allo scoperto, lui è in piena regola. Sei sicuro di questo?In tutte le giurisdizioni?
Una versione correlata di questo potrebbe essere quella di assumere l'individuo come appaltatore (poiché il PO è preoccupato che si tratti di estorsione).Se semplici strumenti automatizzati sono sufficienti per trovare gli exploit nel tuo software, allora forse ha senso mettere qualcuno sul libro paga per eseguire tale software.Direi che non dovrebbe essere considerato estorsione se identifichi un'esigenza aziendale, guardi il suo curriculum e gli paghi un salario equo in base alle sue effettive capacità e reputazione.Se tutto ciò che fa è eseguire strumenti automatici, quel prezzo potrebbe essere basso (anche inferiore alla "donazione"), ma potrebbe essere un affare ripetitivo.
#5
-3
A. Hersean
2017-10-30 21:27:40 UTC
view on stackexchange narkive permalink

Anche se non è obbligatorio per legge, molti pensano che non risarcire qualcuno per il proprio lavoro non sia etico. Questo è indipendente dagli strumenti che questa persona ha utilizzato per il proprio lavoro o dal tono usato per comunicare, soprattutto perché un tono nella comunicazione scritta può essere facilmente interpretato male.

Questa persona ti ha regalato un campione del suo lavoro, poi ha scherzato tu per avere di più. Questa è una pratica commerciale comune e in nessun modo un comportamento dannoso.

Quindi, dalle informazioni fornite nella domanda, il ricercatore potrebbe anche agire in buona fede, senza intenti dannosi. Il PO potrebbe essere parziale nella rappresentazione dei fatti fatti e potrebbe cercare di inquadrare il ricercatore come un cappello nero per legittimare il proprio punto di vista. Questa è solo una supposizione e il PO potrebbe essere in buona fede e il ricercatore potrebbe aver effettivamente minacciato il PO, ma non è chiaro.

Sono molti giudizi di valore ... a parte quelli, il tuo ultimo paragrafo è coperto dalle altre risposte.
@schroeder L'OP chiede un giudizio di valore.Potrei rimuovere il mio ultimo paragrafo.
Sulla base della domanda, la falla di sicurezza può essere trovata da un programma.So che la maggior parte delle leggi sul copyright non copre il lavoro che può essere generato da una macchina.Ovviamente una vulnerabilità di sicurezza e qualcosa che detiene il copyright sono due cose diverse, ma condividono una sorta di nucleo.
Quindi stai dicendo che se un giorno torni a casa dal lavoro e qualcuno avesse falciato il tuo prato, saresti eticamente obbligato a pagare quella persona?L'azienda non ha chiesto al ricercatore di eseguire questo lavoro, quindi non riesco a immaginare alcuna base possibile per la quale sarebbero obbligati a pagare il ricercatore.
"Anche se non è obbligatorio per legge, penso che non risarcire qualcuno per il proprio lavoro non sia etico".- Se tu avessi chiesto il lavoro e almeno sottinteso che ci sarebbe stato un pagamento, allora sì, avresti ragione.Fare un lavoro che non è stato richiesto e poi richiedere un pagamento arbitrario, tuttavia, è una situazione completamente diversa.
@itsme2003 Buona analogia, ma leggermente diversa.Sei tornato a casa e hai scoperto che qualcuno aveva falciato il tuo prato.Hai accettato.È tornato più tardi e lo ha fatto di nuovo chiedendo un risarcimento questa volta.La prima volta non gli hai detto di scram, quindi ha pensato che andasse bene farlo di nuovo.
@Itsme2003 Il tosaerba dovrebbe prima intromettersi nella tua proprietà, è illegale.Il ricercatore non si è intromesso nel sistema informativo del PO (anche questo sarebbe illegale, nella maggior parte delle giurisdizioni).Inoltre non si è rotto nulla, di fronte al tosaerba (che ha tagliato l'erba).
@A.Hersean in che modo un test di sicurezza non autorizzato con uno strumento automatizzato *** non *** è un'intrusione?
@schroeder Una scansione nmap o l'uso di testssl.sh non sono intrusioni.Stessa cosa con armeggiare con dati accessibili apertamente (alla ricerca di difetti in html + js + cookie).Questo è come scattare una foto di una proprietà e poi analizzarla.SQLi sarebbe un'intrusione, a causa del suo utilizzo per divulgare informazioni private o per far eseguire al sistema codice esterno.
@A.Hersean stai facendo gli straordinari per rifiutare i dettagli specifici nello scenario e sostituirli con i tuoi pregiudizi perché non ti piace un'azione che l'azienda ha fatto sulla base di una decisione consapevole.Sto solo facendo marcia indietro da questo.
@schroeder Dal mio punto di vista, sembra che tu stia facendo tante supposizioni quante me.(Non sto facendo gli straordinari) e sto esprimendo un giudizio controverso perché è valido quanto quelli espressi nelle altre risposte (qui sono solo l'avvocato del diavolo).L'OP presenta il ricercatore come qualcuno in malafede senza sostenerlo con prove, potrebbe anche essere il contrario.Inoltre, l'OP chiede un'opinione, le persone sono destinate a non essere d'accordo (mettere in attesa questa domanda era la cosa da fare).
@A.Hersean stai attivamente rifiutando i fatti dichiarati, sostituendoli con i tuoi e quindi formulando giudizi personali sul carattere del PO.È molto, molto diverso dall'accettare i fatti dichiarati (anche se potenzialmente di parte) e andare avanti con l'esperimento mentale.Hai * attaccato * l'OP a livello personale.Questo è semplicemente * non * ok.
Ho riformulato la mia risposta.Spero che si adatti meglio agli standard attesi da questo posto.Sono d'accordo che il mio attacco ad hominem stava andando troppo lontano, non era necessario per chiarire il mio punto.Spero che @jacco accetti le mie scuse.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...